[发明专利]一种基于Ceph的网络靶场后端存储系统设计方法

说明书

本发明涉及一种基于Ceph的网络靶场后端存储系统设计方法，涉及信息安全技术领域。本发明针对现有网络靶场后端存储系统中存在的问题，提供一种云架构下网络靶场后端存储系统的构建方法。这种方法将Ceph与OpenStack相结合，使Ceph作为OpenStack中Nova,Glance,Cinder原生组件的存储后端，将OpenStack的身份认证服务Keystone与Ceph对象网关绑定，并基于Ceph网关模块进行管理应用的二次开发。该方法能够有效提高网络靶场的部署效率及存储安全性。从而实现网络靶场内虚拟机秒速启动、虚拟机实时迁移、数据分片存储、数据全备份，数据增量备份等功能。

技术领域

本发明涉及信息安全技术领域，具体涉及一种基于Ceph的网络靶场后端存储系统设计方法。

背景技术

网络靶场作为应对网络安全威胁、网络对抗技术装备试验、网络攻防战法演练、培育生成网络攻防对抗能力的重要基础设施，被众多网络安全部门所应用。目前网络靶场的构建大多基于OpenStack开源云计算平台。

网络靶场中后端存储可分为虚拟机系统存储、镜像(靶标)存储、和逻辑卷存储。目前，网络靶场的后端存储系统普遍依赖于OpenStack的原生组件实现。由于网络靶场的多元性，其后端存储对效率和安全性有较高的要求。OPENSTACK的原生组件并不完全适合网络靶场的后端存储架构。例如Cinder作为OpenStack的块存储模块，可以为网络靶场提供持久性存储。但Cinder单点存储模式成本高且存在故障问题，若单个节点的数据损坏，数据便会全部丢失。Swift作为OpenStack的原生对象存储系统，并不具备块存储的功能，其异步写入方式，在高并发情况下可能导致数据不完整更新，读取到错误数据。且存在中心服务器性能带宽瓶颈问题。由此可以看出使用原生OpenStack组件构建网络靶场后端存储系统存在如下问题：

网络靶场部署效率低，镜像(靶标)文件在不同宿主机之间复制需要花费大量时间。

靶场内虚拟机使用单点存储模式，存在单点故障的安全隐患。

靶场内虚拟机迁移效率低，无法做到时时迁移。

虚拟机数据备份速度慢，无法利用硬件本身的存储能力实现备份、无法实现增量备份。

Ceph是一种统一的、分布式存储系统。具有高性能、高可靠性和可扩展性等特点，支持数据无缝复制和并发读写。Ceph可以作为块存储、文件存储和对象存储系统，最大程度上简化了存储系统部署运维工作。其去中心化的设计有效避免了大规模存储集群中吞吐量瓶颈问题。并且Ceph使用C++语言开发，速度性能上要明显优于python等开发语言。

Ceph的这些优秀特性，使其可以满足网络靶场后端存储系统的构建需求，但如何运用Ceph构建网络靶场后端存储系统，提升网络靶场的安全性及可用性，仍是一个亟需解决的问题。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是：如何运用Ceph构建网络靶场后端存储系统，提升网络靶场的安全性及可用性。

(二)技术方案

为了解决上述技术问题，本发明提供了一种一种基于Ceph的网络靶场后端存储系统设计方法，将该系统按照如下方式设计：将Ceph集群作为网络靶场的存储后端，为OpenStack集群中Nova、Glance、Cinder原生组件提供块存储服务并对外提供对象存储服务；部署完成后，Nova负责计算服务，使用Ceph集群作为后端存储，Nova创建虚拟机时由Glance服务提供镜像，并使用Cinder服务提供逻辑卷；OpenStack集群的原生可视化组件Horizon服务负责为各组件，即为Nova、Glance、Cinder提供可视化界面。